Il carattere di barra verticale, o pipe, (|) separa i comandi, in modo che l'output del primo comando sia l'input del comando successivo.The pipe (|) character separates commands, so the output of the first one in the input of the following command.È possibile inoltrare tramite pipe un numero qualsiasi di elementi.You can add any number of piped elements.

La barra verticale è seguita dal comando take, che restituisce un numero specifico di record arbitrari dalla tabella.Following the pipe is the take command, which returns a specific number of arbitrary records from the table.

Sarebbe stato possibile eseguire la query anche senza aggiungere | take 10. La query sarebbe comunque valida, ma potrebbe restituire fino a 10.000 risultati.We could actually run the query even without adding | take 10 - that would still be valid, but it could return up to 10,000 results.

Query di ricercaSearch queries

Le query di ricerca sono meno strutturate e in genere più appropriate per trovare record che includono un valore specifico in una delle relative colonne:Search queries are less structured, and generally more suited for finding records that include a specific value in any of their columns:

search in (SecurityEvent) "Cryptographic"
| take 10

Questa query cerca nella tabella SecurityEvent i record che contengono il termine "Cryptographic".This query searches the SecurityEvent table for records that contain the phrase "Cryptographic".Di questi record, ne vengono restituiti e visualizzati 10.Of those records, 10 records will be returned and displayed.Se si omette la parte in (SecurityEvent) e si esegue solamente il comando search "Cryptographic", la ricerca viene eseguita in tutte le tabelle e quindi richiede più tempo ed è meno efficiente.If we omit the in (SecurityEvent) part and just run search "Cryptographic", the search will go over all tables, which would take longer and be less efficient.

Sort e topSort and top

Sebbene take sia utile per ottenere pochi record, i risultati vengono selezionati e visualizzati senza alcun ordine particolare.While take is useful to get a few records, the results are selected and displayed in no particular order.Per ottenere una visualizzazione ordinata, è possibile usare il comando sort, per ordinare i risultati in base alla colonna preferita:To get an ordered view, you could sort by the preferred column:

Il modo migliore per ottenere solo i 10 record più recenti consiste nell'usare top, che consente di ordinare l'intera tabella sul lato server e quindi restituisce i primi record:The best way to get only the latest 10 records is to use top, which sorts the entire table on the server side and then returns the top records:

Where: filtro in base a una condizioneWhere: filtering on a condition

I filtri, come indica il loro nome, filtrano i dati in base a una condizione specifica.Filters, as indicated by their name, filter the data by a specific condition.Questo è il modo più comune per limitare i risultati di query alle informazioni pertinenti.This is the most common way to limit query results to relevant information.

Per aggiungere un filtro a una query, usare l'operatore where seguito da una o più condizioni.To add a filter to a query, use the where operator followed by one or more conditions.La query seguente, ad esempio, restituisce solo i record SecurityEvent in cui Level corrisponde a 8:For example, the following query returns only SecurityEvent records where Level equals 8:

Creare una nuova colonna denominata EventCode.Create a new column named EventCode.La funzione substring() viene usata per ottenere solo i primi quattro caratteri del campo Activity.The substring() function is used to get only the first four characters from the Activity field.

Usare summarize per identificare i gruppi di record, in base a una o più colonne, e applicarvi aggregazioni.Use summarize to identify groups of records, according to one or more columns, and apply aggregations to them.L'uso più comune di summarize è con count, che restituisce il numero di risultati in ogni gruppo.The most common use of summarize is count, which returns the number of results in each group.

La query seguente esamina tutti i record Perf dell'ultima ora, li raggruppa in base a ObjectName e conta i record in ogni gruppo:The following query reviews all Perf records from the last hour, groups them by ObjectName, and counts the records in each group:

Sfortunatamente, i risultati di questa query non sono significativi perché combinano i valori di diversi contatori delle prestazioni.Unfortunately, the results of this query are meaningless since we mixed together different performance counters.Per renderli più significativi, è necessario calcolare la media separatamente per ogni combinazione di CounterName e Computer:To make this more meaningful, we should calculate the average separately for each combination of CounterName and Computer: